La seguridad nunca fue el punto fuerte de las billeteras basadas en navegadores para almacenar Bitcoin (BTC), Ether (ETH) y otras criptomonedas. Sin embargo, un nuevo malware complica aún más la seguridad de las billeteras online al dirigirse directamente a las billeteras de criptomonedas que funcionan como extensiones del navegador.

Llamado Mars Stealer, este malware es una actualización del troyano Oski de 2019 que roba información, según el investigador de seguridad 3xp0rt. Se dirige a más de 40 billeteras de criptomonedas basadas en navegador, junto con las populares extensiones de autenticación de dos factores (2FA), con una función de agarre que roba las claves privadas de los usuarios.

MetaMask, Nifty Wallet, Coinbase Wallet, MEW CX, Ronin Wallet, Binance Chain Wallet y TronLink son algunos de las billeteras atacadas.

El experto en seguridad señala que el malware puede atacar las extensiones de los navegadores basados en Chromium, excepto Opera. Lamentablemente, esto significa que algunos de los navegadores más comunes como Google Chrome, Microsoft Edge y Brave están en la lista. Además, aunque están a salvo de los ataques específicos a las extensiones, Firefox y Opera también son vulnerables al secuestro de credenciales.

Mars Stealer puede propagarse a través de varios canales, como sitios web de alojamiento de archivos, clientes de Torrent y cualquier otra descarga sospechosa. Tras infectar un sistema, lo primero que hace el malware es comprobar el idioma del dispositivo. Si coincide con el ID de idioma de Kazajistán, Uzbekistán, Azerbaiyán, Bielorrusia o Rusia, el software abandona el sistema sin realizar ninguna acción maliciosa.

Para el resto del mundo, el malware se dirige a un archivo que contiene información sensible, como la información de las direcciones de las billeteras de criptomonedas y las claves privadas. Posteriormente, abandona el sistema borrando cualquier presencia una vez completado el robo.

Los delincuentes están vendiendo actualmente Mars Stealer por USD 140 en foros de la Dark Web, lo que significa que la barrera de acceso al troyano es relativamente baja para los actores malintencionados. Se advierte a los usuarios que guardan sus criptoactivos en carteras basadas en navegadores que tengan cuidado de no hacer clic en enlaces o descargas sospechosas.

Fuente: CoinTelegraph